索贝 /sobey-mchEditor/mch/statistics/countWxarticleByChannel SQL 注入漏洞

漏洞概述： 索贝系统的 /sobey-mchEditor/mch/statistics/countWxarticleByChannel 接口存在 SQL 注入风险。攻击者若能向相关参数注入恶意 SQL 片段，可能读取、篡改或破坏后端数据库中的数据。 影响范围： 已知受影响产品为索贝，具体受影响版本信息暂未披露。 利用条件： 攻击者需要能够访问目标接口，并找到可被后端拼接进 SQL 语句的输入参数。当前公开信息未明确给出具体参数名和利用细节。 修复建议： 1. 对所有输入参数进行白名单校验、类型限制和长度限制。 2. 禁止直接拼接 SQL，改用参数化查询或预编译语句。 3. 对接口增加鉴权、最小权限控制和异常审计。 4. 对数据库账号实施最小权限配置，降低注入成功后的影响面。 参考链接： 见 source_links 字段。